PROJEKT OPINII. PL Zjednoczona w różnorodności PL 2012/0011(COD) Komisji Rynku Wewnętrznego i Ochrony Konsumentów

Transkrypt

1 PARLAMENT EUROPEJSKI Komisja Rynku Wewnętrznego i Ochrony Konsumentów 2012/0011(COD) PROJEKT OPINII Komisji Rynku Wewnętrznego i Ochrony Konsumentów dla Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) (COM(2012)0011 C7-0025/ /0011(COD)) Sprawozdawczyni: Lara Comi PA\ doc PE v01-00 Zjednoczona w różnorodności

2 PA_Legam PE v /55 PA\ doc

3 ZWIĘZŁE UZASADNIENIE Ochrona danych jest prawem podstawowym. Należy zdobyć zaufanie obywateli, aby umożliwić im pełniejsze korzystanie ze środowiska online. Podejście to należy zaktualizować uwzględniając nowe narzędzia technologiczne i wynikający z nich przepływ danych. Obowiązujące przepisy dyrektywy 95/46/WE nie w pełni odpowiadają zatem potrzebom jednolitego rynku internetowego. Różnorodność dostępnych modeli biznesowych, technologii i usług również tych o ogromnym znaczeniu w kontekście e-handlu i rynku wewnętrznego zaowocowała szerokim spektrum problemów związanych z ochroną danych. Firmy i rządy wykorzystują te technologie, a obywatele często nie są świadomi ich oddziaływania. W dniu 25 stycznia 2012 r. Komisja Europejska przedstawiła wnioski dotyczące nowego rozporządzenia 1 i dyrektywy 2 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Proponowane rozporządzenie ma na celu uzupełnienie postanowień dyrektywy o prywatności i łączności elektronicznej (2002/58/WE) i dopilnowanie, by pewność prawna i spójność miały kapitalne znaczenie dla efektywnej pracy w UE w tej dziedzinie. Celem proponowanego rozporządzenia jest zharmonizowanie praw, czuwanie nad swobodnym przepływem informacji, zmniejszenie obciążeń administracyjnych i poprawa egzekwowania postanowień prawa. Większa przejrzystość wpłynie na podniesienie zaufania, a nowe przepisy sprawią, że Unia stanie się atrakcyjniejszym kierunkiem dla biznesu. Omawiane rozporządzenie ma ponadto na celu: modernizację systemu prawnego UE w zakresie ochrony danych osobowych, w szczególności w celu sprostania wyzwaniom wynikającym z globalizacji i wykorzystania nowych technologii; zwiększenie praw osób fizycznych i jednocześnie zmniejszenie obciążeń administracyjnych, aby zagwarantować swobodny przepływ danych osobowych w UE; poprawę jasności i spójności przepisów UE w dziedzinie ochrony danych osobowych oraz doprowadzenie do spójnego i skutecznego wdrażania i stosowania tego prawa podstawowego we wszystkich obszarach działalności Unii. Wymiar rynku wewnętrznego Wniosek ma duży potencjał usprawnienia rynku wewnętrznego oraz stworzenia równych szans dla wszystkich przedsiębiorstw działających w UE. Do kluczowych elementów reformy należą: 1 Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (ogólnego rozporządzenia o ochronie danych), COM(2012)11 wersja ostateczna. Zwane dalej rozporządzeniem ogólnym. 2 Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu takich danych, COM(2012)10 wersja ostatecznia. PA\ doc 3/55 PE v01-00

4 zmiana instrumentu prawnego (z dyrektywy na rozporządzenie); zasada punktu kompleksowej obsługi w odniesieniu do właściwego organu nadzorczego w sprawach transgranicznych; zasada pierwszeństwa miejsca transakcji (która sprawia, że unijne normy ochrony danych mają zastosowanie również do przedsiębiorstw z siedzibą poza UE, jeżeli prowadzą one działalność w obrębie UE); ogólna zasada odpowiedzialności (która zastępuje obowiązek administratorów danych lub przetwarzających dane dotyczący ogólnego zawiadomienia krajowego organu regulacyjnego o ich czynnościach przetwarzania danych); wzmocnienie istniejących narzędzi i wprowadzenie nowych z myślą o spójnym wdrażaniu i egzekwowaniu we wszystkich państwach członkowskich. Wzmocnienie praw konsumentów Jeżeli chodzi o wzmocnienie praw konsumentów, wydaje się, że w kwestii konkurujących ze sobą interesów, takich jak świadomość konsumentów, niezależność, ochrona i rynek wewnętrzny, znaleziono złoty środek dzięki działaniom na rzecz przejrzystości. Postępy poczyniono zwłaszcza w odniesieniu do pojęcia zgody jako jednego z czynników uzasadniających przetwarzanie danych osobowych, praw osoby, której dotyczą dane, jako skutecznych narzędzi ochrony konsumentów, a także warunków legalności przekazywania danych poza UE. Niemniej jednak w wielu obszarach wniosek wymaga dalszego doprecyzowania i wyjaśnień. Dotyczy to w szczególności praktycznych aspektów wdrożenia niektórych praw. Należy wyeliminować dwuznaczność, a w szczególności zwrócić uwagę na następujące elementy: wyjaśnić w art. 17, w jakim zakresie dane będące w posiadaniu administratora danych strony trzeciej również muszą zostać usunięte, jeżeli administrator danych poinformował o tym, że osoba, której dotyczą dane, skorzystała z prawa do usunięcia danych; szczególna ochrona wymagana w przypadku nieletnich do osiągnięcia wieku 14 lat, gdyż są oni jeszcze dziećmi; proponowana definicja danych osobowych ; rola, jaką może odegrać anonimizacja i pseudonimizacja w celu ochrony osoby, której dotyczą dane; wniosek należy doprecyzować w odniesieniu do dokładnego podziału i określenia zakresu obowiązków administratora danych i przetwarzającego dane; operacje sporządzania profilu i różnice w profilowaniu między różnymi sektorami gospodarki lub stosunkami prawnymi należy odpowiednio uwzględnić, biorąc również pod uwagę konsekwencje nazbyt restrykcyjnych uregulowań w tej dziedzinie. Mając to na uwadze, sprawozdawczyni pragnie skupić się w szczególności na: definicjach; prawach osoby, której dotyczą dane; PE v /55 PA\ doc

5 obowiązkach administratora danych i przetwarzającego dane w odniesieniu do praw konsumentów; spójności. Sprawozdawczyni pragnie również opowiedzieć się za szerszym pojęciem neutralności technologicznej, a także podjąć następujące kwestie: zasada ograniczenia przeznaczenia; stosowanie aktów delegowanych i wykonawczych w związku z proponowanym pakietem; oraz praktyczne wdrożenie przepisów. POPRAWKI Komisja Rynku Wewnętrznego i Ochrony Konsumentów zwraca się do Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, jako do komisji przedmiotowo właściwej, o naniesienie w swoim sprawozdaniu następujących poprawek: 1 Punkt 13 preambuły (13) Ochrona osób fizycznych powinna być technologicznie neutralna i nie powinna zależeć od stosowanych technik, ponieważ w przeciwnym razie wystąpiłoby poważne ryzyko obchodzenia prawa. Ochrona osób fizycznych powinna mieć zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany, jak również ręcznego przetwarzania, jeśli dane znajdują się lub mają znajdować się w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są zorganizowane według określonych kryteriów, nie powinny wchodzić w zakres niniejszego rozporządzenia. (13) Ochrona osób fizycznych powinna być technologicznie neutralna i nie powinna zależeć od stosowanych technik, ponieważ w przeciwnym razie wystąpiłoby poważne ryzyko obchodzenia prawa. Ochrona osób fizycznych powinna mieć zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany, jak również ręcznego przetwarzania, jeśli dane znajdują się lub mają znajdować się w zbiorze danych. Ponieważ nie ma mowy o takich określonych kryteriach, punkt ten może być mylący. PA\ doc 5/55 PE v01-00

6 2 Punkt 13 a preambuły (nowy) (13 a) Technologiczna neutralność powinna również oznaczać, że podobne działania, przeprowadzone w podobnych warunkach i z podobnym skutkiem powinny być równoważne z punktu widzenia prawa, bez względu na to czy miały one miejsce w internecie czy poza nim, chyba że różne techniki przetwarzania danych w takich środowiskach nie powodują znacznych różnic między nimi. Konieczny był punkt preambuły mający na celu lepszą ocenę różnic między działalnością w internecie i poza nim. Bez tego niektóre podmioty gospodarcze mogłyby postrzegać to rozporządzenie, jako instrument dotyczący tylko działań w internecie, a w szczególności kwestii serwisów społecznościowych. 3 Punkt 23 preambuły (23) Zasady ochrony należy stosować do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób. Aby ustalić, czy można zidentyfikować daną osobę fizyczną, należy wziąć pod uwagę wszystkie sposoby, jakimi mogą posłużyć się administrator lub inna osoba w celu zidentyfikowania tej osoby. Zasady ochrony nie powinny być stosowane do danych zanonimizowanych w taki sposób, że podmiot danych nie może być już zidentyfikowany. (23) Zasady ochrony należy stosować do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób. Aby ustalić, czy można zidentyfikować daną osobę fizyczną, należy wziąć pod uwagę wszystkie sposoby, jakimi mogą posłużyć się administrator lub inna osoba w celu zidentyfikowania tej osoby. Zasady ochrony nie powinny być stosowane do danych zanonimizowanych w taki sposób, że podmiot danych, nie może być już bezpośrednio zidentyfikowany, łącznie w miarę możliwości z oddzielaniem PE v /55 PA\ doc

7 przetwarzanych danych od danych ujawniających tożsamość. W tym ostatnim przypadku przydatne są również dane pod pseudonimem, jeżeli połączenie tych danych z tożsamością jest zabezpieczone zgodnie z najnowszymi osiągnięciami techniki. Definicja danych osobowych musi zostać wyjaśniona, aby była przydatna zarówno dla konsumentów, jak i dla przedsiębiorców. W tym celu przydatne jest wprowadzenie danych anonimowych i danych pod pseudonimem. 4 Punkt 23 a preambuły (nowy) (23 a) Duża ilość danych osobowych może zostać przetwarzana dla celów wykrycia nadużycia lub zapobiegania mu. Dochodzenie w takich sprawach, regulowane prawem państw członkowskich lub Unii, powinno być brane pod uwagę przy ocenie zasady ograniczenia ilości danych i zgodności przetwarzania z prawem. Niniejsza poprawka ma na celu zwrócenie uwagi na zasadę, która nie jest sprzeczna z niniejszym rozporządzeniem, ale nie jest też jasno określona. 5 Punkt 25 preambuły (25) Zgoda powinna być wyraźnie (25) Zgoda powinna być wyraźnie PA\ doc 7/55 PE v01-00

8 wyrażona w dowolny właściwy sposób umożliwiający swobodne i świadome wyrażenie woli przez podmiot danych bądź w formie oświadczenia, bądź w drodze wyraźnego działania potwierdzającego podmiotu danych, przy jednoczesnym zagwarantowaniu, że osoby fizyczne są świadome, iż wyrażają zgodę na przetwarzanie danych osobowych, w tym poprzez zaznaczenie okna wyboru podczas przeglądania strony internetowej lub też inne oświadczenie bądź zachowanie, które w tym kontekście wyraźnie oznacza akceptację przez podmiot danych proponowanego przetwarzania jego danych osobowych. Milczenie lub bezczynność nie powinny zatem stanowić zgody. Zgoda powinna obejmować całość przetwarzania dokonanego w tym samym celu lub w tych samych celach. Jeśli zgoda podmiotu danych ma być wyrażona w następstwie elektronicznego wniosku, wniosek taki musi być jasny, zwięzły i nie powodować niepotrzebnego przerwania świadczenia usługi, której dotyczy. wyrażona w dowolny właściwy sposób umożliwiający swobodne i świadome wyrażenie woli przez podmiot danych bądź w formie oświadczenia, bądź w drodze wyraźnego działania potwierdzającego podmiotu danych, przy jednoczesnym zagwarantowaniu, że osoby fizyczne są świadome, iż wyrażają zgodę na przetwarzanie danych osobowych, w tym poprzez zaznaczenie okna wyboru podczas przeglądania strony internetowej lub też inne oświadczenie bądź zachowanie, które w tym kontekście wyraźnie oznacza akceptację przez podmiot danych proponowanego przetwarzania jego danych osobowych. Zgoda może być dorozumiana tylko w przypadku gdy podmiot danych działa w taki sposób, że trzeba przetworzyć pewną ilość danych osobowych, na przykład w przypadku gdy poszukuje on pewnych towarów lub usług, i w takim przypadku zgoda dotyczy tylko niezbędnego minimum. Milczenie lub bezczynność nie powinny zatem stanowić zgody. Zgoda powinna obejmować całość przetwarzania dokonanego w tym samym celu lub w tych samych celach. Jeśli zgoda podmiotu danych ma być wyrażona w następstwie elektronicznego wniosku, wniosek taki musi być jasny, zwięzły i nie powodować niepotrzebnego przerwania świadczenia usługi, której dotyczy. Aby ułatwić codzienne życie, zarówno w internecie, jak i poza nim, konieczne jest uściślenie przypadków, w których zgoda jest dorozumiana, ponieważ wynika z kontekstu. Na przykład pytanie lekarza o diagnozę wiąże się z przetwarzaniem pewnych danych osobowych, bez konieczności powzięcia konkretnych środków, jak określono na początku tego punktu. W celu postawienia diagnozy lekarz może na przykład porozumieć się ze specjalistą bez pytania pacjenta o zgodę. 6 Punkt 27 preambuły PE v /55 PA\ doc

9 (27) Siedzibę administratora w Unii należy ustalić na podstawie obiektywnych kryteriów. Powinna ona zakładać skuteczne i faktycznie zarządzanie, polegające na podejmowaniu najważniejszych decyzji dotyczących celów, warunków i środków przetwarzania w drodze stabilnych rozwiązań. Takie kryterium nie powinno zależeć od tego, czy przetwarzanie danych osobowych jest faktycznie dokonywane w tej lokalizacji; obecność i wykorzystanie środków technicznych i technologii do celów przetwarzania danych osobowych lub działalności w zakresie przetwarzania nie stanowią, same w sobie, takiej siedziby, nie są więc kryteriami wyznaczającymi siedzibę. Siedzibą podmiotu przetwarzającego powinno być miejsce jego zarządu w Unii. (27) Siedzibę administratora lub podmiotu przetwarzającego w Unii należy ustalić na podstawie obiektywnych kryteriów. Powinna ona zakładać skuteczne i faktycznie zarządzanie, polegające na podejmowaniu najważniejszych decyzji dotyczących celów, warunków i środków przetwarzania w drodze stabilnych rozwiązań. Takie kryterium nie powinno zależeć od tego, czy przetwarzanie danych osobowych jest faktycznie dokonywane w tej lokalizacji; obecność i wykorzystanie środków technicznych i technologii do celów przetwarzania danych osobowych lub działalności w zakresie przetwarzania nie stanowią, same w sobie, takiej siedziby, nie są więc kryteriami wyznaczającymi siedzibę. uzupełnia poprawkę do art. 4 ust Punkt 27 a preambuły (nowy) (27 a) Przedstawiciel oraz administrator ponoszą odpowiedzialność za wszelkie zachowanie sprzeczne z niniejszym rozporządzeniem. Odpowiedzialność przedstawiciela nie jest dostatecznie jasno wspomniana. Niniejsza poprawka służy jej podkreśleniu. PA\ doc 9/55 PE v01-00

10 8 Punkt 29 preambuły (29) Na szczególną ochronę danych osobowych zasługują dzieci, które mogą być w mniejszym stopniu świadome zagrożeń, konsekwencji, gwarancji i swoich praw związanych z przetwarzaniem danych osobowych. Aby stwierdzić, czy dana osoba jest dzieckiem, w niniejszym rozporządzeniu należy przyjąć definicję określoną w Konwencji Narodów Zjednoczonych o prawach dziecka. (29) Na szczególną ochronę danych osobowych zasługują dzieci, które mogą być w mniejszym stopniu świadome zagrożeń, konsekwencji, gwarancji i swoich praw związanych z przetwarzaniem danych osobowych. Jednocześnie, biorąc pod uwagę wyższe niż średnie wykorzystanie technologii przez młodsze pokolenia, należy wprowadzić rozróżnienie między definicją określoną w Konwencji Narodów Zjednoczonych o prawach dziecka a kryterium małoletniości. ta jest spójna z poprawką do art. 4 ust Punkt 34 preambuły (34) Zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji wyraźnego braku równowagi między podmiotem danych a administratorem. Dotyczy to w szczególności przypadku, gdy między podmiotem danych a administratorem istnieje stosunek zależności, między innymi wtedy, gdy dane osobowe pracowników są przetwarzane przez pracodawcę w kontekście zatrudnienia Jeśli administrator jest organem publicznym, brak równowagi wystąpiłby (34) Zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji wyraźnego braku równowagi między podmiotem danych a administratorem. Dotyczy to w szczególności przypadku, gdy między podmiotem danych a administratorem istnieje stosunek zależności, między innymi wtedy, gdy dane osobowe pracowników są przetwarzane przez pracodawcę w kontekście zatrudnienia Jeśli administrator jest organem publicznym, brak równowagi wystąpiłby PE v /55 PA\ doc

11 wyłącznie w przypadku operacji przetwarzania szczególnych danych, gdy organ publiczny może nałożyć obowiązek na mocy odpowiednich uprawnień publicznych a zgody nie można uznać za wyrażoną dobrowolnie, uwzględniając interes podmiotu danych. wyłącznie w przypadku operacji przetwarzania szczególnych danych, gdy organ publiczny może nałożyć nowy i nieuzasadniony obowiązek na mocy odpowiednich uprawnień publicznych a zgody nie można uznać za wyrażoną dobrowolnie, uwzględniając interes podmiotu danych. Odniesienie do braku równowagi między podmiotem danych a organem publicznym wymaga wyjaśnienia, ponieważ większość organów publicznych objętych zakresem stosowania niniejszego rozporządzenia jest narażonych na takie ryzyko. Na przykład służby celne chcące sprawdzić towary pochodzące spoza Unii mogą zrobić to bez zgody nadawcy i odbiorcy, nawet jeśli oznacza to znaczny brak równowagi i bez dania zainteresowanym osobom możliwości odmowy. Nowy odnosi się do zasady niedziałania prawa wstecz. 10 Punkt 49 preambuły (49) Informacje dotyczące przetwarzania danych osobowych odnoszących się do podmiotu danych powinny być mu przekazane w momencie zbierania danych lub, jeśli dane nie są uzyskiwane od tego podmiotu, w rozsądnym terminie, zależnie od okoliczności sprawy. Jeśli dane można zgodnie z prawem ujawnić innemu odbiorcy, w momencie pierwszorazowego ujawnienia danych temu odbiorcy należy przekazać stosowne informacje podmiotowi danych. (49) Informacje dotyczące przetwarzania danych osobowych odnoszących się do podmiotu danych powinny być mu przekazane w momencie zbierania danych lub, jeśli dane nie są uzyskiwane od tego podmiotu, w rozsądnym terminie, zależnie od okoliczności sprawy. Jeśli dane można zgodnie z prawem ujawnić innemu odbiorcy, w momencie pierwszorazowego ujawnienia danych temu odbiorcy należy przekazać stosowne informacje podmiotowi danych. Jednocześnie nie powinno się zezwalać na żadne przetwarzanie poza przechowywaniem bez pełnego poinformowania podmiotu danych o wspomnianym ujawnieniu. PA\ doc 11/55 PE v01-00

12 jest spójna z poprawką do art. 14 ust. 4b. 11 Punkt 53 preambuły (53) Każda osoba powinna mieć prawo do poprawienia dotyczących jej danych osobowych oraz prawo do bycia zapomnianym, jeśli przechowywanie tych danych nie jest zgodne z niniejszym rozporządzeniem. W szczególności podmioty danych powinny mieć prawo do tego, by ich dane osobowe zostały usunięte i nie były dalej przetwarzane, jeśli dane te nie są już konieczne do celów, dla których dane są zbierane lub przetwarzane w inny sposób, jeśli podmioty danych odwołały zgodę na przetwarzanie lub jeśli wnoszą sprzeciw wobec przetwarzania danych osobowych ich dotyczących, lub jeśli przetwarzanie ich danych osobowych nie jest zgodne z niniejszym rozporządzeniem z innego powodu. Prawo to ma szczególne znaczenie wtedy, gdy podmiot danych wyraził zgodę jako dziecko, nie będąc w pełni świadomy ryzyk związanych z przetwarzaniem, a w późniejszym czasie chce usunąć takie dane osobowe, zwłaszcza z internetu. Dalsze przechowywanie danych powinno być jednak dopuszczalne, jeśli jest ono niezbędne do celów dokumentacji, statystyki i badań naukowych, realizacji interesu publicznego w dziedzinie zdrowia publicznego, wykonania prawa wolności wypowiedzi, jeśli wymagają tego przepisy prawa lub jeśli są powody ograniczenia przetwarzania danych zamiast ich usunięcia. (53) Każda osoba powinna mieć prawo do poprawienia dotyczących jej danych osobowych oraz prawo do usunięcia takich danych osobowych, jeśli przechowywanie tych danych nie jest zgodne z niniejszym rozporządzeniem. W szczególności podmioty danych powinny mieć prawo do tego, by ich dane osobowe zostały usunięte i nie były dalej przetwarzane, jeśli dane te nie są już konieczne do celów, dla których dane są zbierane lub przetwarzane w inny sposób, jeśli podmioty danych odwołały zgodę na przetwarzanie lub jeśli wnoszą sprzeciw wobec przetwarzania danych osobowych ich dotyczących, lub jeśli przetwarzanie ich danych osobowych nie jest zgodne z niniejszym rozporządzeniem z innego powodu. Prawo to ma szczególne znaczenie wtedy, gdy podmiot danych wyraził zgodę jako dziecko, nie będąc w pełni świadomy ryzyk związanych z przetwarzaniem, a w późniejszym czasie chce usunąć takie dane osobowe, zwłaszcza z internetu. Dalsze przechowywanie danych powinno być jednak dopuszczalne, jeśli jest ono niezbędne do celów dokumentacji, statystyki i badań naukowych, realizacji interesu publicznego w dziedzinie zdrowia publicznego, wykonania prawa wolności wypowiedzi, jeśli wymagają tego przepisy prawa lub jeśli są powody ograniczenia przetwarzania danych zamiast ich usunięcia. PE v /55 PA\ doc

13 jest spójna z poprawką do tytułu art Punkt 54 preambuły (54) Aby wzmocnić prawo do bycia zapomnianym w internecie, prawo do usunięcia danych powinno być także rozszerzone w taki sposób, by administrator, który upublicznił dane, miał obowiązek poinformować osoby trzecie, które przetwarzają te dane, że podmiot przetwarzający dane złożył wniosek o usunięcie wszelkich linków do danych, kopii lub replikacji tych danych osobowych. Aby zapewnić przekazanie tych informacji, administrator powinien podjąć wszelkie racjonalne kroki, w tym środki techniczne, dotyczące danych, za których publikację odpowiada administrator. Jeśli chodzi o publikowanie danych osobowych przez osoby trzecie, administratora należy uznać za odpowiedzialnego za publikację tych danych, jeśli wyraził on zgodę na publikację tych danych przez osobę trzecią. (54) Aby wzmocnić prawo usunięcia danych w internecie, takie prawo powinno być także rozszerzone w taki sposób, by administrator, który przekazywał dane lub upubliczniał je nie działając na zlecenie podmiotu danych, miał obowiązek poinformować osoby trzecie, które przetwarzają te dane, że podmiot przetwarzający dane złożył wniosek o usunięcie wszelkich linków do danych, kopii lub replikacji tych danych osobowych. Aby zapewnić przekazanie tych informacji, administrator powinien podjąć wszelkie racjonalne kroki, w tym środki techniczne, dotyczące danych, za których publikację odpowiada administrator. Jeśli chodzi o publikowanie danych osobowych przez osoby trzecie, administratora należy uznać za odpowiedzialnego za publikację tych danych, jeśli wyraził on zgodę na publikację tych danych przez osobę trzecią. jest spójna z poprawką do art. 17 ust Punkt 55 a preambuły (nowy) (55 a) W drodze częściowego odstępstwa PA\ doc 13/55 PE v01-00

14 od zasady określonej w poprzednim punkcie preambuły, należy uwzględnić przypadki, w których zgromadzone dane osobowe, o ile mają one tylko wewnętrzne znaczenie dla administratora, stanowią własność administratora. W takich przypadkach, jeżeli przetwarzane dane są bez znaczenia dla podmiotu danych, administrator nie powinien mieć obowiązku przenoszenia danych. Niniejsza poprawka ma na celu wyjaśnienie poprawki, której celem jest stworzenie ust. 3a do art. 18. Odnosi się ona na przykład do danych dotyczących historii zakupów podmiotu danych, zebranych w ramach dużego i zorganizowanego systemu dystrybucji, lub oceny zdolności kredytowej podmiotu danych przeprowadzonej przez instytucję finansową. W takich przypadkach przekazywanie przetworzonych danych mogłoby zaszkodzić wolnej konkurencji, ponieważ dałoby nowym podmiotom przewagę nad przedsiębiorstwem, które przetworzyło dane. 14 Punkt 55 b preambuły (nowy) (55 b) Pewne dane osobowe po przetworzeniu przez administratora lub podmiot przetwarzający dają rezultaty, które są wykorzystywane tylko wewnętrznie przez administratora danych, a ich format jest niezrozumiały nawet dla podmiotu tych danych. W takim przypadku prawo przenoszenia danych nie powinno mieć zastosowania, natomiast inne prawa, w szczególności prawo do wniesienia sprzeciwu, prawo do dostępu i prawo do sprostowania nadal obowiązują. Niniejsza poprawka ma na celu wyjaśnienie terminu znaczenie wprowadzonego w PE v /55 PA\ doc

15 poprzedniej poprawce. 15 Punkt 58 preambuły (58) Każda osoba fizyczna powinna mieć prawo niepodlegania środkowi opartemu na profilowaniu dokonywanym poprzez automatyczne przetwarzanie. Taki środek powinien być jednak dozwolony wtedy, gdy jest wyraźnie przewidziany przez przepisy prawa, stosowany w toku zawierania lub wykonywania umowy lub gdy podmiot danych wyraził na niego zgodę. W każdym przypadku takie przetwarzanie powinno stanowić przedmiot odpowiednich gwarancji, w tym konkretnych informacji podmiotu danych i prawa do interwencji ze strony człowieka, a środek ten nie powinien dotyczyć dzieci. (58) Każda osoba fizyczna powinna mieć prawo niepodlegania środkowi opartemu na profilowaniu dokonywanym poprzez automatyczne przetwarzanie. Taki środek powinien być jednak zakazany tylko wtedy, gdy jest wyraźnie określony przez przepisy prawa, niestosowany w toku zawierania lub wykonywania umowy lub gdy podmiot danych wycofał swoją zgodę na niego. W każdym przypadku takie przetwarzanie powinno stanowić przedmiot odpowiednich gwarancji, w tym konkretnych informacji podmiotu danych i prawa do interwencji ze strony człowieka, a środek ten nie powinien dotyczyć dzieci. Podmiot danych, w przypadku gdy takie profilowanie nie jest konieczne dla zawierania lub wykonywania umowy, powinien mieć zawsze możliwość wycofania się. Niniejsza poprawka ma na celu wyjaśnienie poprawek do art. 20, odwracając podejście do profilowania: Jest ono dozwolone, chyba że przeciwieństwo już przewidzianych przypadków jest potwierdzone. Wprowadzenie możliwości wycofania się z profilowania uzupełnia ramy ochrony konsumenta. 16 Punkt 61 a preambuły (nowy) (61 a) Ochrona danych z definicji jest bardzo przydatnym narzędziem, ponieważ PA\ doc 15/55 PE v01-00

16 pozwala podmiotowi danych na pełną kontrolę nad ochroną jego własnych danych, nad informacjami, którymi się dzieli i nad tym, z kim się dzieli tymi informacjami. Przy rozpatrywaniu tej zasady oraz domyślnej ochrony danych ocena zgodności przetwarzania danych z prawem powinna w dużym stopniu zależeć od kontekstu. ta wyjaśnia poprawkę do art. 23 ust. 2. Odnosi się do przypadków, w których podmiot danych ma wybór wyrażenia zgody na uczestnictwo w systemie przetwarzania danych. W takim przypadku trzeba wziąć pod uwagę szereg konsekwencji. Na przykład dołączając do serwisu społecznościowego podmiot danych powinien zaakceptować fakt, że pewne informacje będą widoczne dla innych użytkowników, aby mogli oni się z nim połączyć. Natomiast nie powinno się pozwalać na taki sam poziom upublicznienia danych przy staraniu się przez podmiot danych o pożyczkę. 17 Punkt 63 preambuły (63) Jeśli administrator niemający siedziby w Unii przetwarza dane osobowe podmiotów danych mających miejsce zamieszkania w Unii, a jego działalność w zakresie przetwarzania wiąże się z oferowaniem towarów lub usług tym podmiotom lub monitorowaniem ich zachowania, powinien on wyznaczyć przedstawiciela, chyba że administrator ma siedzibę w państwie trzecim zapewniającym odpowiedni poziom ochrony, jest małym lub średnim przedsiębiorcą, organem lub podmiotem publicznym, lub chyba że jedynie okazjonalnie oferuje towary lub usługi tym podmiotom. Przedstawiciel powinien działać w imieniu administratora, a organ nadzorczy może się do niego zwracać. (63) Jeśli administrator niemający siedziby w Unii przetwarza dane osobowe podmiotów danych mających miejsce zamieszkania w Unii, a jego działalność w zakresie przetwarzania wiąże się z oferowaniem towarów lub usług tym podmiotom lub monitorowaniem ich zachowania, powinien on wyznaczyć przedstawiciela, chyba że administrator ma siedzibę w państwie trzecim zapewniającym odpowiedni poziom ochrony, jest organem lub podmiotem publicznym, lub chyba że jedynie okazjonalnie oferuje towary lub usługi tym podmiotom. Przedstawiciel powinien działać w imieniu administratora, a organ nadzorczy może się do niego zwracać. PE v /55 PA\ doc

17 Rozmiar przedsiębiorstwa lub organizacji nie ma żadnego znaczenia dla ochrony danych. 18 Punkt 67 preambuły (67) Naruszenie ochrony danych osobowych, w braku odpowiedniej i szybkiej reakcji, może prowadzić do znacznej straty ekonomicznej i szkód społecznych u danej osoby, w tym oszustwa dotyczącego tożsamości. Z tego względu administrator, niezwłocznie po powzięciu wiadomości o naruszeniu, jeśli to możliwe, w ciągu 24 godzin powinien zawiadomić organ nadzorczy o naruszeniu. Jeśli nie jest to możliwe w ciągu 24 godzin, do zawiadomienia należy dołączyć stosowne wyjaśnienie powodów opóźnienia. Osoby, których dane osobowe mogłyby ucierpieć wskutek takiego naruszenia, powinny być niezwłocznie zawiadamiane, aby umożliwić im podjęcie niezbędnych środków ostrożności. Naruszenie powinno być uznawane za wywierające niekorzystny wpływ na dane osobowe lub prywatność podmiotu danych, jeżeli jego skutkiem mogą być np. kradzież lub oszustwo dotyczące tożsamości, uszkodzenie ciała, poważne upokorzenie lub naruszenie dobrego imienia. Zawiadomienie powinno zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla osoby zainteresowanej dotyczące ograniczenia potencjalnych niekorzystnych skutków naruszenia. Zawiadomienia powinny być przekazywane podmiotom danych tak szybko jak to racjonalnie możliwe, w ścisłej współpracy z organem nadzorczym oraz z poszanowaniem wytycznych (67) Naruszenie ochrony danych osobowych, w braku odpowiedniej i szybkiej reakcji, może prowadzić do znacznej straty ekonomicznej i szkód społecznych u danej osoby, w tym oszustwa dotyczącego tożsamości. Z tego względu rozwiązanie kwestii takiej straty ekonomicznej i szkody społecznej powinno być pierwszym i najważniejszym priorytetem. Następnie administrator powinien niezwłocznie zawiadomić organ nadzorczy o naruszeniu. Osoby, których dane osobowe mogłyby ucierpieć wskutek takiego naruszenia, powinny być niezwłocznie zawiadamiane, aby umożliwić im podjęcie niezbędnych środków ostrożności. Naruszenie powinno być uznawane za wywierające niekorzystny wpływ na dane osobowe lub prywatność podmiotu danych, jeżeli jego skutkiem mogą być np. kradzież lub oszustwo dotyczące tożsamości, uszkodzenie ciała, poważne upokorzenie, naruszenie dobrego imienia lub utrata pieniędzy. Zawiadomienie organu nadzorczego powinno zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla osoby zainteresowanej dotyczące ograniczenia potencjalnych niekorzystnych skutków naruszenia. Zawiadomienia powinny być przekazywane podmiotom danych tak szybko jak to racjonalnie możliwe, w ścisłej współpracy z organem nadzorczym oraz z poszanowaniem wytycznych PA\ doc 17/55 PE v01-00

18 przekazanych przez ten organ lub inne właściwe organy (np. organy ścigania). Na przykład szansa ograniczenia przez podmioty danych bezpośredniego ryzyka szkody wymagałaby szybkiego zawiadomienia podmiotów danych, zaś potrzeba wdrożenia właściwych środków w przypadku powtarzających się lub podobnych naruszeń ochrony danych może usprawiedliwiać dłuższe opóźnienie. przekazanych przez ten organ lub inne właściwe organy (np. organy ścigania). Na przykład szansa ograniczenia przez podmioty danych bezpośredniego ryzyka szkody wymagałaby szybkiego zawiadomienia podmiotów danych, zaś potrzeba wdrożenia właściwych środków w przypadku powtarzających się lub podobnych naruszeń ochrony danych może usprawiedliwiać dłuższe opóźnienie. ma na celu wyjaśnienie działań, które należy podjąć w przypadku naruszenia ochrony danych osobowych, oraz poprawek do art. 31 i Punkt 69 preambuły (69) Przy określaniu szczegółowych przepisów dotyczących formy i procedur mających zastosowanie przy zawiadamianiu o naruszeniach ochrony danych osobowych należy odpowiednio uwzględnić okoliczności naruszenia, w tym zbadać, czy dane osobowe były zabezpieczone właściwymi technicznymi środkami ochrony, skutecznie ograniczającymi prawdopodobieństwo oszustwa dotyczącego tożsamości lub innych form nadużycia danych. W tych przepisach i procedurach należy ponadto uwzględnić słuszne interesy organów ścigania, w przypadkach gdy przedwczesne ujawnienie mogłoby niepotrzebnie utrudnić badanie okoliczności naruszenia. (69) Przy ocenie poziomu szczegółowości przy zawiadamianiu o naruszeniach ochrony danych osobowych należy odpowiednio uwzględnić okoliczności naruszenia, w tym zbadać, czy dane osobowe były zabezpieczone właściwymi technicznymi środkami ochrony, skutecznie ograniczającymi prawdopodobieństwo oszustwa dotyczącego tożsamości lub innych form nadużycia danych. W tych przepisach i procedurach należy ponadto uwzględnić słuszne interesy organów ścigania, w przypadkach gdy przedwczesne ujawnienie mogłoby niepotrzebnie utrudnić badanie okoliczności naruszenia. jest konsekwencją skreślenia art. 32 ust. 5. PE v /55 PA\ doc

19 20 Punkt 75 preambuły (75) Jeśli przetwarzanie odbywa się w sektorze publicznym lub jeśli przetwarzanie w sektorze prywatnym prowadzi duże przedsiębiorstwo, lub jeśli główna działalność przedsiębiorstwa, niezależnie od jego wielkości, obejmuje operacje przetwarzania, które wymagają regularnego i systematycznego monitorowania, osoba trzecia powinna wspomagać administratora lub podmiot przetwarzający w monitorowaniu zgodności, na poziomie wewnętrznym, z niniejszym rozporządzeniem. Taki inspektor ochrony danych, który może być pracownikiem administratora, powinien być w stanie niezależnie wykonywać swoje obowiązki i zadania. (75) Jeśli przetwarzanie odbywa się w sektorze publicznym lub jeśli przetwarzanie w sektorze prywatnym prowadzi przedsiębiorstwo, którego główna działalność, niezależnie od jego wielkości, obejmuje operacje przetwarzania, które wymagają regularnego i systematycznego monitorowania, osoba trzecia powinna wspomagać administratora lub podmiot przetwarzający w monitorowaniu zgodności, na poziomie wewnętrznym, z niniejszym rozporządzeniem. Taki inspektor ochrony danych, który może być pracownikiem administratora, powinien być w stanie niezależnie wykonywać swoje obowiązki i zadania. ta jest spójna z poprawką do art. 35 ust. 1b. 21 Punkt 97 preambuły (97) Jeśli przetwarzanie danych osobowych w kontekście działalności prowadzonej w siedzibie administratora lub podmiotu przetwarzającego w Unii odbywa się w kilku państwach, jeden organ nadzorczy powinien być właściwy w zakresie monitorowania działalności administratora lub podmiotu przetwarzającego w całej Unii oraz (97) Jeśli przetwarzanie danych osobowych w kontekście działalności prowadzonej w siedzibie administratora lub podmiotu przetwarzającego w Unii odbywa się w kilku państwach, jeden organ nadzorczy powinien być właściwy w zakresie monitorowania działalności administratora lub podmiotu przetwarzającego w całej Unii oraz PA\ doc 19/55 PE v01-00

20 podejmowania odnośnych decyzji, by zwiększyć spójne stosowanie, zagwarantować pewność prawną oraz ograniczyć obciążenie administracyjne administratorów i podmiotów przetwarzających. podejmowania odnośnych decyzji, by zagwarantować pewność prawną oraz ograniczyć obciążenie administracyjne administratorów i podmiotów przetwarzających. Postanowienie dotyczące punktu kompleksowej obsługi samo w sobie nie zwiększa spójności. W tym celu zaproponowano poprawki do odnośnych artykułów, co pozostawia odpowiedzialność za spójność Europejskiej Radzie Ochrony Danych. 22 Punkt 105 preambuły (105) By zapewnić spójne stosowanie przepisów niniejszego rozporządzenia w całej Unii, należy ustanowić mechanizm zgodności w zakresie współpracy między organami nadzorczymi i Komisją. Mechanizm ten powinien mieć w szczególności zastosowanie tam, gdzie organ nadzorczy zamierza podjąć środek w zakresie operacji przetwarzania powiązanych z oferowaniem towarów lub usług podmiotom danych w kilku państwach członkowskich, lub też monitorowaniem podmiotów danych, lub który mógłby mieć istotny wpływ na swobodny przepływ danych. Powinien także mieć zastosowanie wtedy, gdy organ nadzorczy lub Komisja wnioskują o rozwiązanie danej kwestii w ramach mechanizmu zgodności. Mechanizm ten powinien pozostawać bez uszczerbku dla środków, które Komisja może podjąć w ramach wykonywania swoich uprawnień na mocy Traktatu. (105) By zapewnić spójne stosowanie przepisów niniejszego rozporządzenia w całej Unii, należy ustanowić mechanizm zgodności w zakresie współpracy między organami nadzorczymi i Komisją. Mechanizm ten powinien mieć w szczególności zastosowanie tam, gdzie organ nadzorczy zamierza podjąć środek w zakresie operacji przetwarzania powiązanych z oferowaniem towarów lub usług podmiotom danych w kilku państwach członkowskich, lub też monitorowaniem podmiotów danych, lub który mógłby mieć istotny wpływ na swobodny przepływ danych. Powinien także mieć zastosowanie wtedy, gdy organ nadzorczy lub Komisja wnioskują o rozwiązanie danej kwestii w ramach mechanizmu zgodności. Ponadto podmioty danych powinny mieć prawo wymagać zgodności, jeżeli uważają one, że środek zastosowany przez organ ochrony danych państwa członkowskiego nie spełnił tego kryterium. Mechanizm ten powinien pozostawać bez uszczerbku dla środków, które Komisja może podjąć w ramach PE v /55 PA\ doc

21 wykonywania swoich uprawnień na mocy Traktatu. wprowadza nowy art. 63a. 23 Punkt 111 preambuły (111) Każdy podmiot danych powinien mieć prawo do złożenia skargi do organu nadzorczego w dowolnym państwie członkowskim oraz prawo do sądowego środka ochrony prawnej, jeśli uzna, że jego prawa wynikające z niniejszego rozporządzenia są naruszane lub jeśli organ nadzorczy nie reaguje na skargę lub nie podejmuje działania, pomimo iż jest ono niezbędne w celu ochrony praw podmiotu danych. (111) Każdy podmiot danych powinien mieć prawo do złożenia skargi do organu nadzorczego w dowolnym państwie członkowskim oraz prawo do sądowego środka ochrony prawnej, jeśli uzna, że jego prawa wynikające z niniejszego rozporządzenia są naruszane lub jeśli organ nadzorczy nie reaguje na skargę lub nie podejmuje działania, pomimo iż jest ono niezbędne w celu ochrony praw podmiotu danych. Jeżeli podmiot danych uważa, że nie została zachowana zgodność, może on złożyć skargę do Europejskiej Rady Ochrony Danych. 24 Punkt 112 preambuły (112) Każdy organ, organizacja lub zrzeszenie, które ma na celu ochronę praw i interesów podmiotów danych w zakresie ochrony ich danych i które zostało utworzone zgodnie z prawem państwa członkowskiego, powinno mieć prawo do złożenia skargi do organu nadzorczego lub (112) Każdy organ, organizacja lub zrzeszenie, które ma na celu ochronę praw i interesów obywateli, powinno mieć prawo do złożenia skargi do organu nadzorczego lub wykonania prawa do sądowego środka ochrony prawnej w imieniu podmiotów danych, lub też PA\ doc 21/55 PE v01-00

22 wykonania prawa do sądowego środka ochrony prawnej w imieniu podmiotów danych, lub też złożenia, niezależnie od skargi podmiotu danych, własnej skargi, jeśli uzna, iż doszło do naruszenia ochrony danych osobowych. złożenia, niezależnie od skargi podmiotu danych, własnej skargi, jeśli uzna, iż doszło do naruszenia ochrony danych osobowych. uzupełnia poprawkę do art. 73 ust Punkt 113 preambuły (113) Każda osoba fizyczna lub prawna powinna mieć prawo do sądowego środka ochrony prawnej przeciwko dotyczącej jej decyzji organu nadzorczego. Postępowanie przeciwko organowi nadzorczemu należy wszcząć przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę. (113) Każda osoba fizyczna lub prawna powinna mieć prawo do sądowego środka ochrony prawnej przeciwko dotyczącej jej decyzji organu nadzorczego. Postępowanie przeciwko organowi nadzorczemu należy wszcząć przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę, lub przed Europejską Radą Ochrony Danych z powodu braku zgodności w zastosowaniu niniejszego rozporządzenia w innych państwach członkowskich. 26 Punkt 114 preambuły (114) By wzmocnić ochronę sądową podmiotu danych w sytuacjach, w których właściwy organ nadzorczy ma siedzibę w innym państwie członkowskim niż to, w którym mieszka podmiot danych, podmiot danych może zwrócić się do podmiotu, organizacji lub zrzeszenia mającego na (114) By wzmocnić ochronę sądową podmiotu danych w sytuacjach, w których właściwy organ nadzorczy ma siedzibę w innym państwie członkowskim niż to, w którym mieszka podmiot danych, podmiot danych może zwrócić się do podmiotu, organizacji lub zrzeszenia mającego na PE v /55 PA\ doc

23 celu ochronę praw i interesów podmiotu danych w zakresie ochrony jego danych z wnioskiem o wszczęcie w jego imieniu postępowania przeciwko temu organowi nadzorczemu we właściwym sądzie innego państwa członkowskiego. celu ochronę praw i interesów obywateli z wnioskiem o wszczęcie w jego imieniu postępowania przeciwko temu organowi nadzorczemu we właściwym sądzie innego państwa członkowskiego. m tej poprawki jest poprawka do art. 73 ust Punkt 120 preambuły (120) W celu wzmocnienia i zharmonizowania sankcji administracyjnych za naruszenia przepisów niniejszego rozporządzenia, każdy organ nadzorczy powinien być uprawniony do nakładania sankcji administracyjnych. Niniejsze rozporządzenie powinno wymieniać te przestępstwa oraz wskazywać górną granicę wysokości grzywien administracyjnych, którą należy ustalić oddzielnie dla każdego przypadku, odpowiednio do danej sytuacji, ze szczególnym uwzględnieniem charakteru, wagi i czasu trwania naruszenia. Z mechanizmu zgodności można także korzystać do zniesienia różnic w stosowaniu sankcji administracyjnych. (120) W celu wzmocnienia i zharmonizowania sankcji administracyjnych za naruszenia przepisów niniejszego rozporządzenia, każdy organ nadzorczy powinien być uprawniony do nakładania sankcji administracyjnych. Niniejsze rozporządzenie powinno wymieniać te przestępstwa oraz wskazywać górną granicę wysokości grzywien administracyjnych, którą należy ustalić oddzielnie dla każdego przypadku, odpowiednio do danej sytuacji, ze szczególnym uwzględnieniem charakteru, wagi i czasu trwania naruszenia. W celu wzmocnienia rynku wewnętrznego, sankcje administracyjne powinny być spójne we wszystkich państwach członkowskich. Z mechanizmu zgodności można także korzystać do zniesienia różnic w stosowaniu sankcji administracyjnych. Niniejsza poprawka antycypuje wymóg spójności sankcji administracyjnych w art. 78 i 79. PA\ doc 23/55 PE v01-00

24 28 Punkt 122 preambuły (122) Przetwarzanie danych osobowych dotyczących zdrowia, jako szczególnej kategorii danych, które zasługują na wyższy poziom ochrony, może być często uzasadnione wieloma względami przemawiającymi na korzyść poszczególnych osób i społeczeństwa jako całości, zwłaszcza w kontekście zapewnienia ciągłości transgranicznej opieki zdrowotnej. Z tego względu niniejsze rozporządzenie powinno przewidywać zharmonizowane warunki przetwarzania danych dotyczących zdrowia, z zastrzeżeniem szczególnych i odpowiednich gwarancji w celu ochrony podstawowych praw i danych osobowych osób fizycznych. Obejmuje to prawo osób fizycznych do dostępu do ich danych osobowych dotyczących zdrowia, na przykład danych w dokumentacji medycznej zawierających takie informacje, jak diagnoza, wyniki badań, oceny dokonywane przez lekarzy prowadzących leczenie oraz informacje na temat wszelkich stosowanych terapii lub przeprowadzonych zabiegów. (122) Przetwarzanie danych osobowych dotyczących zdrowia, jako szczególnej kategorii danych, które zasługują na wyższy poziom ochrony, może być często uzasadnione wieloma względami przemawiającymi na korzyść poszczególnych osób i społeczeństwa jako całości, zwłaszcza w kontekście zapewnienia ciągłości transgranicznej opieki zdrowotnej. Z tego względu niniejsze rozporządzenie powinno przewidywać zharmonizowane warunki przetwarzania danych dotyczących zdrowia, z zastrzeżeniem szczególnych i odpowiednich gwarancji w celu ochrony podstawowych praw i danych osobowych osób fizycznych. Obejmuje to prawo osób fizycznych do dostępu bezpośrednio lub za pośrednictwem wcześniej wyznaczonych osób do ich danych osobowych dotyczących zdrowia, na przykład danych w dokumentacji medycznej zawierających takie informacje, jak diagnoza, wyniki badań, oceny dokonywane przez lekarzy prowadzących leczenie oraz informacje na temat wszelkich stosowanych terapii lub przeprowadzonych zabiegów. ta jest potrzebna, aby krewni pacjenta mogli mieć dostęp do informacji, jeżeli sam pacjent nie jest w stanie podejmować decyzji ani korzystać z takich informacji z uwagi na poważną chorobę. 29 Punkt 122 a preambuły (nowy) PE v /55 PA\ doc

25 (122 a) Osoba przetwarzająca dane osobowe dotyczące stanu zdrowia powinna w miarę możliwości otrzymywać dane anonimowo lub pod pseudonimem, a wiedzę na temat tożsamości powinien posiadać jedynie lekarz ogólny lub specjalista, który zwrócił się z wnioskiem dotyczącym przetworzenia takich danych. ta ma na celu wprowadzenie kolejnego narzędzia ochrony obywateli, których dane dotyczące stanu zdrowia są administrowane lub przetwarzane przez osobę, która nie ma potrzeby zapoznawania się z tożsamością osoby, której dane dotyczą. 30 Artykuł 3 ustęp 2 litera a) a) oferowaniem towarów lub usług takim podmiotom danych w Unii, lub a) oferowaniem towarów i usług takim podmiotom danych w Unii, w tym również usług świadczonych nieodpłatnie osobom fizycznym, lub Wyjaśnienie polegające na tym, że cel nie ma znaczenia dla kwestii stosowania niniejszego rozporządzenia, a w podobnych warunkach usługi bezpłatne pociągają za sobą takie same zobowiązania pozostałych podmiotów. 31 Artykuł 4 ustęp 1 punkt 1 PA\ doc 25/55 PE v01-00

26 (1) podmiot danych oznacza zidentyfikowaną osobę fizyczną lub osobę fizyczną, którą można zidentyfikować, bezpośrednio lub pośrednio, za pomocą wszelkich środków, które z rozsądnym prawdopodobieństwem mogą być użyte przez administratora lub inną osobę fizyczną bądź prawną, szczególnie przez odniesienie do numeru identyfikacyjnego, danych dotyczących lokalizacji, identyfikatora online lub przynajmniej jednego czynnika charakterystycznego dla fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby; (1) podmiot danych oznacza zidentyfikowaną osobę fizyczną lub osobę fizyczną, która może zostać zidentyfikowana, bezpośrednio lub pośrednio, przez administratora lub inną osobę fizyczną bądź prawną, szczególnie przez odniesienie do numeru identyfikacyjnego, danych dotyczących lokalizacji, identyfikatora online lub przynajmniej jednego czynnika charakterystycznego dla fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby; w celu określenia, czy daną osobę można zidentyfikować, bierze się pod uwagę: a) środki, które prawdopodobnie mogą zostać użyte przez administratora lub inną osobę fizyczną lub prawną, która korzysta z dostępu do danych w celu zidentyfikowania takiej osoby, oraz b) środki przewidziane przez administratora lub przetwarzającego dane w celu niedopuszczenia, aby informacje te doprowadziły do pełnego zidentyfikowania osoby fizycznej. Osobę fizyczną można zidentyfikować w sposób pośredni, jeżeli przetworzone dane pozwalają administratorowi całkowicie odróżnić jedną osobę od drugiej i nie może on zweryfikować jej tożsamości. Definicja zaproponowana przez Komisję jest zbyt ogólna. Dokładniejsze informacje o środkach wyjaśniają tę kwestię. 32 Artykuł 4 ustęp 1 punkt 2 PE v /55 PA\ doc

27 (2) dane osobowe oznaczają wszelkie informacje dotyczące podmiotu danych; (2) dane osobowe oznaczają informacje dotyczące podmiotu danych, który można zidentyfikować; Zawężenie definicji podnosi stopień pewności prawa i eliminuje zbędne obciążenia dla administratorów danych, które nie mają bezpośredniego znaczenia dla podmiotu danych. 33 Artykuł 4 ustęp 1 punkt 8 (8) zgoda podmiotu danych oznacza dobrowolne, szczególne, świadome i wyraźne oświadczenie woli, przez które podmiot danych, w drodze oświadczenia lub wyraźnego działania potwierdzającego, wyraża zgodę na przetwarzanie dotyczących go danych osobowych; (8) zgoda podmiotu danych oznacza dobrowolne, szczególne, świadome i wyraźne oświadczenie woli, przez które podmiot danych, w drodze oświadczenia lub wyraźnego działania potwierdzającego, wyraża zgodę na przetwarzanie dotyczących go danych osobowych; wyraźne działanie potwierdzające to jednoznaczne działanie będące konsekwencją wyboru i pociągające za sobą niezbędne przetworzenie danych w celu pełnego wykonania tego działania; Jeżeli przetwarzanie danych osobowych jest absolutnie niezbędne w związku z dostarczeniem towaru lub świadczeniem usługi, zamówienie towaru lub usługi można traktować jako wyraźne oświadczenie woli. 34 Artykuł 4 ustęp 1 punkt 13 PA\ doc 27/55 PE v01-00

28 (13) główna siedziba oznacza, jeśli chodzi o administratora, jego siedzibę w Unii, w której podejmowane są najważniejsze decyzje dotyczące celów, warunków i sposobów przetwarzania danych; jeśli decyzji dotyczących celów, warunków i sposobów przetwarzania danych osobowych nie podejmuje się w Unii, główną siedzibą jest miejsce, w którym odbywa się główna działalność w zakresie przetwarzania w kontekście działalności zakładu administratora w Unii. Jeśli chodzi o podmiot przetwarzający, główna siedziba oznacza miejsce, w którym znajduje się jego zarząd w Unii; (13) główna siedziba oznacza miejsce, w którym administrator lub przetwarzający dane ma siedzibę w Unii, w której podejmowane są najważniejsze decyzje dotyczące celów, warunków i sposobów przetwarzania danych; jeśli decyzji dotyczących celów, warunków i sposobów przetwarzania danych osobowych nie podejmuje się w Unii, główną siedzibą jest miejsce, w którym odbywa się główna działalność w zakresie przetwarzania w kontekście działalności zakładu administratora lub przetwarzającego dane w Unii. Ta sama definicja powinna się odnosić do przetwarzającego dane, jak i administratora danych, jeżeli przetwarzający dane ma bezpośrednie relacje z podmiotem danych. 35 Artykuł 4 ustęp 1 punkt 18 (18) dziecko oznacza każdą osobę w wieku poniżej 18 lat; (18) dziecko oznacza każdą osobę w wieku poniżej 14 lat; Każda osoba w wieku poniżej 18 lat jest osobą niepełnoletnią. Z uwagi na skłonność młodszych pokoleń do korzystania z technologii należy dokonać rozróżnienia między dziećmi a niepełnoletnimi, jeżeli ci ostatni pod warunkiem posiadania odpowiednich informacji zajmują się innymi sprawami w porównaniu z tymi pierwszymi. Udawanie, że niepełnoletni tuż przed osiągnięciem pełnoletności nie korzystają z usług online jest równoznaczne z niemożliwością stosowania rozporządzenia, podczas gdy w przypadku aplikacji offline mają zastosowanie przepisy krajowe dotyczące odpowiedzialności ponoszonej przez nieletnich. PE v /55 PA\ doc